정확히 뭘 공유해야 하는지 모르고 민감한 정보 공유할까 두려워
공유의 명확한 표준 정립으로 혼란 해결하는 것이 급선무
[보안뉴스 문가용] 미국 국토방위부는 3월 17일 AIS라는 시스템에 대해 발표를 했다. 이는 자동화된 지표 공유(Automated Indicator Sharing)의 준말로 사이버 위협 첩보를 민간 기업과 공공기관들이 서로 원활하게 공유할 수 있도록 하자는 데 그 목적을 가지고 있다. 공유의 속도를 높이면 보안사고도 줄어들 것이라는 논리다.
첩보와 위협 소식을 빠르게 공유함으로써 많은 사고를 미연에 방지하거나 피해를 줄일 수 있다는 개념 자체에 반대하는 보안 전문가는 그리 많지 않을 것이다. 하지만 실제로 공유라는 걸 직접 시도해보니 말처럼 간단한 것도 아니고 굉장히 많은 장애물들과 맞부딪쳐야 했다.
먼저 사이버 위협 첩보라는 것에 대한 정의부터 살펴보자. 사이버 위협 첩보는 수상한 행위나 악성 행위와 관련된 세부사항 및 메타데이터다. 이는 공격의 경로 및 가능 시나리오, 익스플로잇이 될 만한 취약점, 대응 및 복구 방법 등을 전부 포함하되 개인식별정보는 그 어떤 경우에라도 제외되어야 한다. 파일 평판을 공유할 때조차 이 규칙은 적용된다. 공유할 때마다 이를 지켜내는 게 생각보다 불편하고 까다롭다. 공유를 함으로써 얻는 이득보다 당장의 불편함이 훨씬 커 보인다.
‘공유’라는 걸 실시할 때 사람들은 어떤 정보를 선뜻 공유해주고 어떤 정보는 공유를 꺼려할까? 인텔이 최근 500명의 보안 전문가들을 대상으로 설문을 실시했는데 3/4가 주시하고 있는 멀웨어의 행동 패턴에 대한 정보는 얼마든지 공유할 마음이 있다고 응답했다. 멀웨어에 대한 정보 공유는 이미 실제 정보보안 현장에서 활발히 공유되고 있는 것이기도 하다. 응답자의 절반은 URL, 외부 IP 주소, 보안 인증서에 대한 평판 정보 역시 기꺼이 공유할 수 있다고 답했다.
75%와 50%가 특정 사안에 대해 공유할 마음이 있다고 밝혔으므로 25%와 나머지 50%는 그럴 마음이 없다는 뜻도 된다. “정보 공유로 사고와 피해를 줄일 수 있다”는 개념 자체에 많은 이들이 공감한다면 75%와 50%라는 수치는 사실 의외라고 해석하는 것도 가능하다. 해당 설문에서 공유를 꺼려하는 이유를 물었을 때 ‘회사 정책’, ‘산업 내의 규정’, ‘악성 URL 혹은 IP라고 규정했다가 소송으로 이어질까봐’ 등이 답변으로 나왔다.
응답자의 1/3은 파일 평판을 공유할 마음이 있다고 답했는데, 이 또한 매우 적은 수치라고 볼 수 있다. 나머지 2/3은 ‘실수로 파일 내에 저장된 민감한 정보를 유출시킬까봐’ 차라리 공유를 하지 않는 편을 택하겠다고 말했다. 아직까지 공유라는 걸 실제로 한다는 게 많은 사람들의 두려움을 사고 있다는 걸 방증한다.
하지만 이는 초기의 단순 시행착오 정도의 수준이라고 본다. 사이버 위협 첩보가 무엇인지, 그것을 어떻게 공유해야 하며, 어떤 건 공유하지 말아야 하는지 충분한 교육 및 기술 지원이 뒷받침된다면 충분히 해결될 문제인 것이다. 게다가 이미 국가의 정책이나 산업에서의 분위기가 전부 ‘공유가 정답’인 쪽으로 흘러가고 있기 때문에 선택의 여지가 없기도 하다. 즉, 지금 싫든 좋든 언젠가는 이 공유의 활성화에 동참해야 한다는 것이다.
그러므로 첩보 공유의 표준 정립이 시급하다. 혼란을 질서로 바꾸기 위해서는 기준이 필요하기 때문이다. 위 설문에서 나온 것처럼 사람들의 혼란도 어느 정도 해소할 수 있을 것이며, 이로써 공유되는 첩보의 질도 훨씬 높아질 것이며, 이로 인해 방지할 수 있는 사고와 피해도 훨씬 많아질 것이다.
현대의 사이버 공격은 그 방법이나 형태가 시간 단위로 바뀌기 때문에 전통의 엔드포인트 보안장치 및 방화벽 등을 쉽게 무용지물로 만든다. 시그니처 업데이트와 스캐닝 툴 최신화가 도저히 쫓아갈 수 없는 속도다. 내가 가진 툴이 아무리 좋아도 그것 하나만으로는 시한부일 수밖에 없다는 의미다. 고로 다른 사람의 것도 참조할 필요가 있다.
아직 사이버 위협 첩보의 공유가 널리 실행되기까지는 시간이 더 필요해 보이고, 그 방법론에 대한 논의는 아직 시작도 채 되지 않은 단계다. 넘어야 할 장애물은 산맥을 이루고 있고 그 산맥을 넘느니 공유를 포기하는 게 더 낫겠다는 마음도 이해가 아예 안 가는 건 아니다. 하지만 우리가 발전 방향에 대한 합의조차 이루고 있지 않은 때에 공격자들은 우리를 훌쩍 뛰어넘고 있다는 사실을 기억해야 한다.
지금 시점에서 공유에 대한 디테일한 방법론이 아니라 큰 틀과 개념을 언급하는 원고를 쓰고 있다는 사실 자체가 ‘가야 할 길이 많이 남았다’는 걸 방증하는 듯 하다. 표준 정립과 기술 지원을 통해 공유를 해야 하는 주체인 사용자들의 거부감을 해소시키는 것부터 시작해야 하겠다.
글 : 빈센트 위퍼(Vincent Weafer)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
공유의 명확한 표준 정립으로 혼란 해결하는 것이 급선무
[보안뉴스 문가용] 미국 국토방위부는 3월 17일 AIS라는 시스템에 대해 발표를 했다. 이는 자동화된 지표 공유(Automated Indicator Sharing)의 준말로 사이버 위협 첩보를 민간 기업과 공공기관들이 서로 원활하게 공유할 수 있도록 하자는 데 그 목적을 가지고 있다. 공유의 속도를 높이면 보안사고도 줄어들 것이라는 논리다.
첩보와 위협 소식을 빠르게 공유함으로써 많은 사고를 미연에 방지하거나 피해를 줄일 수 있다는 개념 자체에 반대하는 보안 전문가는 그리 많지 않을 것이다. 하지만 실제로 공유라는 걸 직접 시도해보니 말처럼 간단한 것도 아니고 굉장히 많은 장애물들과 맞부딪쳐야 했다.
먼저 사이버 위협 첩보라는 것에 대한 정의부터 살펴보자. 사이버 위협 첩보는 수상한 행위나 악성 행위와 관련된 세부사항 및 메타데이터다. 이는 공격의 경로 및 가능 시나리오, 익스플로잇이 될 만한 취약점, 대응 및 복구 방법 등을 전부 포함하되 개인식별정보는 그 어떤 경우에라도 제외되어야 한다. 파일 평판을 공유할 때조차 이 규칙은 적용된다. 공유할 때마다 이를 지켜내는 게 생각보다 불편하고 까다롭다. 공유를 함으로써 얻는 이득보다 당장의 불편함이 훨씬 커 보인다.
‘공유’라는 걸 실시할 때 사람들은 어떤 정보를 선뜻 공유해주고 어떤 정보는 공유를 꺼려할까? 인텔이 최근 500명의 보안 전문가들을 대상으로 설문을 실시했는데 3/4가 주시하고 있는 멀웨어의 행동 패턴에 대한 정보는 얼마든지 공유할 마음이 있다고 응답했다. 멀웨어에 대한 정보 공유는 이미 실제 정보보안 현장에서 활발히 공유되고 있는 것이기도 하다. 응답자의 절반은 URL, 외부 IP 주소, 보안 인증서에 대한 평판 정보 역시 기꺼이 공유할 수 있다고 답했다.
75%와 50%가 특정 사안에 대해 공유할 마음이 있다고 밝혔으므로 25%와 나머지 50%는 그럴 마음이 없다는 뜻도 된다. “정보 공유로 사고와 피해를 줄일 수 있다”는 개념 자체에 많은 이들이 공감한다면 75%와 50%라는 수치는 사실 의외라고 해석하는 것도 가능하다. 해당 설문에서 공유를 꺼려하는 이유를 물었을 때 ‘회사 정책’, ‘산업 내의 규정’, ‘악성 URL 혹은 IP라고 규정했다가 소송으로 이어질까봐’ 등이 답변으로 나왔다.
응답자의 1/3은 파일 평판을 공유할 마음이 있다고 답했는데, 이 또한 매우 적은 수치라고 볼 수 있다. 나머지 2/3은 ‘실수로 파일 내에 저장된 민감한 정보를 유출시킬까봐’ 차라리 공유를 하지 않는 편을 택하겠다고 말했다. 아직까지 공유라는 걸 실제로 한다는 게 많은 사람들의 두려움을 사고 있다는 걸 방증한다.
하지만 이는 초기의 단순 시행착오 정도의 수준이라고 본다. 사이버 위협 첩보가 무엇인지, 그것을 어떻게 공유해야 하며, 어떤 건 공유하지 말아야 하는지 충분한 교육 및 기술 지원이 뒷받침된다면 충분히 해결될 문제인 것이다. 게다가 이미 국가의 정책이나 산업에서의 분위기가 전부 ‘공유가 정답’인 쪽으로 흘러가고 있기 때문에 선택의 여지가 없기도 하다. 즉, 지금 싫든 좋든 언젠가는 이 공유의 활성화에 동참해야 한다는 것이다.
그러므로 첩보 공유의 표준 정립이 시급하다. 혼란을 질서로 바꾸기 위해서는 기준이 필요하기 때문이다. 위 설문에서 나온 것처럼 사람들의 혼란도 어느 정도 해소할 수 있을 것이며, 이로써 공유되는 첩보의 질도 훨씬 높아질 것이며, 이로 인해 방지할 수 있는 사고와 피해도 훨씬 많아질 것이다.
현대의 사이버 공격은 그 방법이나 형태가 시간 단위로 바뀌기 때문에 전통의 엔드포인트 보안장치 및 방화벽 등을 쉽게 무용지물로 만든다. 시그니처 업데이트와 스캐닝 툴 최신화가 도저히 쫓아갈 수 없는 속도다. 내가 가진 툴이 아무리 좋아도 그것 하나만으로는 시한부일 수밖에 없다는 의미다. 고로 다른 사람의 것도 참조할 필요가 있다.
아직 사이버 위협 첩보의 공유가 널리 실행되기까지는 시간이 더 필요해 보이고, 그 방법론에 대한 논의는 아직 시작도 채 되지 않은 단계다. 넘어야 할 장애물은 산맥을 이루고 있고 그 산맥을 넘느니 공유를 포기하는 게 더 낫겠다는 마음도 이해가 아예 안 가는 건 아니다. 하지만 우리가 발전 방향에 대한 합의조차 이루고 있지 않은 때에 공격자들은 우리를 훌쩍 뛰어넘고 있다는 사실을 기억해야 한다.
지금 시점에서 공유에 대한 디테일한 방법론이 아니라 큰 틀과 개념을 언급하는 원고를 쓰고 있다는 사실 자체가 ‘가야 할 길이 많이 남았다’는 걸 방증하는 듯 하다. 표준 정립과 기술 지원을 통해 공유를 해야 하는 주체인 사용자들의 거부감을 해소시키는 것부터 시작해야 하겠다.
글 : 빈센트 위퍼(Vincent Weafer)
Copyrighted 2015. UBM-Tech. 117153:0515BC
[국제부 문가용 기자(globoan@boannews.com)]
<저작권자: 보안뉴스(www.boannews.com) 무단전재-재배포금지>
.jpg)
.jpg)
.jpg)
.jpg)
.jpg)
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.JPG){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
.jpg){kind=small}
